MIRRI varuje: phishing podvodníci lepia QR kódy na autá

Na parkovisku v Bratislave sa objavili nálepky s QR kódmi. Vyzerajú ako pokuta od mesta. Nie sú.

Keď ich vodič naskenuje telefónom, otvorí sa stránka, ktorá vyzerá presne ako slovensko.sk. Formulár žiada meno, rodné číslo a údaje z občianskeho preukazu. Vodič je v strese, myslí si, že dostal pokutu, a chce to vyriešiť hneď. A práve v tej chvíli útočník získa všetko, čo potreboval.

Slovenský CSIRT túto kampaň zachytil začiatkom apríla a vydal varovanie. Ale QR nálepky sú len jedna časť väčšieho problému.

Falošné štátne weby

CSIRT identifikoval doménu platby-mvsr.sk, ktorá predstiera platobný portál Ministerstva vnútra. A potom sk-slovensko.web.app, kópiu štátneho portálu slovensko.sk, hosťovanú na Firebase.

Firebase hosting je zadarmo. HTTPS certifikát dostanete automaticky. Za hodinu máte funkčný falošný portál slovensko.sk. Zámok v prehliadači svieti na zeleno, lebo HTTPS neznamená „bezpečná stránka". Znamená len „šifrované pripojenie". Aj k podvodníkovi.

Oba weby obsahujú ministerské logá, správne farby, formuláre. Niektoré varianty žiadajú priamo platbu, vraj za administratívny úkon.

A kampaň neostáva len pri QR kódoch. Chodia aj SMS správy, ktoré tvrdia, že Vám do 24 hodín vypnú prístup k slovensko.sk, ak sa neoveríte cez odkaz. Ľudia sa boja, že prídu o elektronickú schránku, a kliknú.

Prečo je QR nálepka taká účinná

Väčšina ľudí čaká phishing cez email. Na to sú aspoň trochu pripravení. Ale fyzická nálepka na čelnom skle? Niekto ju musel vytlačiť, prísť osobne a nalepiť na Vaše auto. To pôsobí oficiálne. Ako úradný akt.

Na telefóne potom nemáte nič z toho, čo by Vás chránilo na pracovnom počítači. Žiadny firemný firewall. Žiadny email filter. Len prehliadač a falošná stránka.

Ak ste dnes ráno naskenovali nejaký QR kód na aute, dočítajte.

Čo z toho pre firmy

Zamestnanec, ktorý naskenuje podvodný QR kód osobným telefónom, na ktorom má aj firemný email. To je cesta do firemnej infraštruktúry. Stačí jedno kompromitované heslo. BYOD politiky to ešte zhoršujú, lebo osobné a pracovné sa na jednom zariadení prelínajú.

Ak útočníci napodobňujú ministerstvá, rovnako ľahko napodobnia Váš fakturačný systém alebo klientsky portál. Doména fakturacia-vasafirma.sk stojí pár eur a za hodinu je na nej funkčná kópia Vašej prihlasovacej stránky. Keď na ňu zákazník naletí, nedôveruje potom útočníkovi. Nedôveruje Vám. Zapamätá si, že „na stránke tej firmy" mu ukradli údaje.

Firemné telefónne čísla sú dostupné z verejných registrov, webov, LinkedIn profilov. SMS phishing teda necieli len na súkromné čísla. Ak Vaši obchodníci majú číslo na vizitke, sú v dosahu.

Kontext: celá EÚ má problém

ENISA udáva priemer kybernetickej pripravenosti EÚ na 62,65 zo 100. Individuálne skóre krajín nezverejnili, ale phishingové kampane s falošnými štátnymi webmi hlásia CERT tímy v Česku, Poľsku, aj Rakúsku. Líši sa len jazyk na stránke.

Čo s tým

DMARC by ste mali mať nastavený od včera. Ak ho nemáte v režime reject, útočníci môžu posielať emaily, ktoré vyzerajú, akoby prišli z Vašej domény. A Vy o tom nebudete vedieť. SPF + DKIM + DMARC sa nastavuje v rádoch hodín, nie dní.

DNS-level ochrana (Cloudflare Gateway, Cisco Umbrella) zablokuje známe phishingové domény ešte pred tým, ako sa stránka začne načítavať. Pre firmy do 100 ľudí existujú bezplatné plány.

A QR kódy? Zavedenie pravidla „žiadny QR z neovereného zdroja na firemnom zariadení" znie jednoducho, ale väčšina firemných bezpečnostných politík na to ešte nemyslí. Rovnaká logika platí pre QR kódy v emailoch. QR kód v emaile je takmer vždy podozrivý.

Pošlite zamestnancom oznam s konkrétnymi doménami a screenshotmi falošných webov. Všeobecné „buďte opatrní" nefunguje. Ľudia ho prečítajú a zabudnú. Konkrétny príklad falošného formuláru, ktorý žiada rodné číslo, si zapamätajú.

Ako rozpoznať falošný štátny web

Slovenské štátne portály bežia na .gov.sk alebo slovensko.sk. Čokoľvek na .web.app, .site, .online alebo s pomlčkami v názve ministerstva je podozrivé. Ak web žiada rodné číslo cez formulár bez prihlásenia cez eID, nie je legitímny. A ak prišla SMS s urgentným termínom, vedzte, že žiadna reálna štátna služba Vám nezruší prístup za 24 hodín bez predchádzajúceho upozornenia poštou.

---

Robíme školenia o rozpoznávaní phishingu pre firemné tímy. 90 minút, praktické ukážky s reálnymi príkladmi, vrátane tých slovenských, ktoré CSIRT zachytil tento mesiac. Robíme ich preto, lebo sami sme videli, ako ľudia na ne reagujú: keď vidia reálny slovenský phishing na obrazovke, zapamätajú si to. Ak Vás zaujíma, ozvite sa nám.

Súvisiace články:

• Ako rozpoznať AI phishing a deepfake útoky
• Kybernetická stratégia Slovenska 2026–2030
• Ochrana webu pred skriptami tretích strán